Hva er IP-spoofing?
IP-spoofing, er etableringen av Internett-Protokollen (IP) – pakker som har en modifisert kildekode-postadresse for å enten skjule identiteten til avsenderen, til å utgi seg for en annen datamaskin, eller begge deler. Det er en teknikk som ofte brukes av dårlige skuespillere til å påberope seg DDoS-angrep mot en target-enheten eller den omkringliggende infrastruktur.
Sending og mottak av IP-pakker er en primær måte som datamaskiner i nettverk og andre enheter kommuniserer, og utgjør grunnlaget for den moderne internett., Alle IP-pakker inneholder en overskrift som går forut for kroppen på pakken, og inneholder viktig informasjon om ruting, inkludert kilden adresse. I en vanlig pakke, kilde-IP-adressen er adressen til avsender av pakken. Hvis pakken har blitt etterlignet kilde-adresse vil bli smidd.
IP-Spoofing er analogt til at en angriper sender en pakke til noen med feil retur-postadresse oppført., Dersom en person som mottar pakken ønsker å stoppe avsender sender pakker, blokkerer alle pakker fra falsk adresse vil gjøre lite godt, som retur-adresse er lett endres. Relatedly, dersom mottaker ønsker å svare på retur-adresse, deres svar vil pakken gå et annet sted enn til den ekte avsenderen. Evnen til å forfalske adresser av pakker som er en kjerne sårbarhet utnyttes av mange DDoS-angrep.,
DDoS-angrep vil ofte benytte spoofing med et mål av overveldende et mål med trafikken, mens maskering av identiteten til den skadelige kilde, for å hindre avbøtende tiltak. Hvis kilde-IP-adressen er forfalsket og kontinuerlig randomisert, blokkere ondsinnede forespørsler blir vanskelig. IP-spoofing gjør det også vanskelig for politi og cyber security team å spore opp gjerningsmannen av angrep.
imitasjon er også brukt til å passere som en annen enhet, slik at svarene blir sendt til den målrettede enheten i stedet., Volumetrisk angrep, for eksempel NTP Forsterkning og DNS-amplifikasjon gjøre bruk av dette sikkerhetsproblemet. Muligheten til å endre kilde-IP-adressen er knyttet til utformingen av TCP/IP, gjør det til en pågående sikkerhet bekymring.
Tangentiell til DDoS-angrep, imitasjon kan også gjøres med sikte på å maskert som en annen enhet for å omgå godkjenning og få tilgang til eller «kapre» en bruker session.
Hvordan for å beskytte mot IP-spoofing (packet filtering)
Mens IP-spoofing kan ikke forhindres, tiltak som kan iverksettes for å stoppe falske pakker fra å infiltrere et nettverk., En veldig vanlig forsvar mot forfalsking er ingress-filtrering, som er skissert i BCP38 (en Felles Beste Praksis-dokument). Ingress filtrering er en form for packet filtering vanligvis implementert på et nettverk edge-enheten som undersøker innkommende IP-pakker og ser på deres kilde overskrifter. Hvis kilden overskrifter på disse pakkene ikke samsvarer med deres opprinnelse eller de ellers ser fishy, pakkene blir avvist., Enkelte nettverk vil også gjennomføre egress filtrering, som ser på IP-pakker går ut av nettverket, slik at disse pakkene har legitim kilde overskrifter for å hindre noen i nettverket fra å lansere en utgående ondsinnede angrep ved hjelp av IP-spoofing.